capitanp
Miembro irreconocible
Especialistas en seguridad han descubierto recientemente un virus que llega en el BIOS, haciendo que sea muy difícil eliminarlo utilizando las soluciones antivirus comerciales actuales.
El virus llamado Mebromi parece tener como blanco a los usuarios chinos, especialmente los propietarios de BIOS AMI, pero esto no significa que el resto del mundo está a salvo, ya que esto podría representar un abridor de puerta para los hackers que quieren asegurarse de que nuestros equipos permanecen bajo su control.
Una descripción completa de la manera en que Mebromi funciona fue publicada en Webroot Threat Blog, dándonos una visión sobre cómo llega este elemento malintencionado en el núcleo de un equipo.
El rootkit de BIOS, un rootkit MBR, un rootkit de modo kernel, un inyector de archivo PE y un troyano de descarga son los elementos encapsulados en este malware potencialmente destructivo, que por el momento no es capaz de causar daños a equipos que ejecutan sistemas operativos de 64 bits si los privilegios de usuario son limitados.
Todo comienza con unos cuantos archivos que intentan acceder al kernel con el fin de cargar el controlador de kernel del virus que generará más tarde la parte más grave de la infección.
Después de infectar el BIOS exitosamente usando un archivo llamado Cbrom.exe, que es una herramienta legítima desarrollada por Phoenix Technologies diseñada para modificar archivos binarios ROM del sistema Award/Phoenix, sigue adelante infectando el registro master boot record del dispositivo.
Los archivos winlogon.exe o wininit.exe también están dañados e inyectados con códigos que generarán la descarga de infecciones adicionales.
“Almacenar el código malicioso dentro de la ROM del BIOS podría convertirse realmente en algo más que un problema de software de seguridad, habida cuenta de que incluso si un antivirus detecta y limpia la infección MBR, se restablecerá con el siguiente inicio del sistema cuando la carga malintencionada de BIOS sobrescribirá el código MBR nuevamente”, dijo un investigador de Webroot.
“Desarrollar una utilidad antivirus capaz de limpiar el código del BIOS es un desafío, porque debe carecer totalmente de errores, para evitar que no deje al sistema iniciarse en absoluto. El trabajo de manejar esos códigos específicos de sistema debe ser dejado en cargo de los desarrolladores del modelo específico de placa base, que publicarán actualizaciones de BIOS junto con herramientas específicas para actualizar el código de BIOS”, reveló a continuación.
Parece que estos tipos de amenazas deben presentar un poco de preocupación, pero la realidad es que es una tarea difícil para un hacker desarrollar un programa malintencionado que podría afectar a todos los tipos de equipos. Así que, por ahora, debemos preocuparnos más por los peligros actuales que se esconden detrás de nuestro cada clic, en un intento de ganar el control de nuestros equipos.
http://www.zonavirus.com/noticias/2011/descubierto-un-nuevo-virus-de-bios-el-mebromi.asp
El virus llamado Mebromi parece tener como blanco a los usuarios chinos, especialmente los propietarios de BIOS AMI, pero esto no significa que el resto del mundo está a salvo, ya que esto podría representar un abridor de puerta para los hackers que quieren asegurarse de que nuestros equipos permanecen bajo su control.
Una descripción completa de la manera en que Mebromi funciona fue publicada en Webroot Threat Blog, dándonos una visión sobre cómo llega este elemento malintencionado en el núcleo de un equipo.
El rootkit de BIOS, un rootkit MBR, un rootkit de modo kernel, un inyector de archivo PE y un troyano de descarga son los elementos encapsulados en este malware potencialmente destructivo, que por el momento no es capaz de causar daños a equipos que ejecutan sistemas operativos de 64 bits si los privilegios de usuario son limitados.
Todo comienza con unos cuantos archivos que intentan acceder al kernel con el fin de cargar el controlador de kernel del virus que generará más tarde la parte más grave de la infección.
Después de infectar el BIOS exitosamente usando un archivo llamado Cbrom.exe, que es una herramienta legítima desarrollada por Phoenix Technologies diseñada para modificar archivos binarios ROM del sistema Award/Phoenix, sigue adelante infectando el registro master boot record del dispositivo.
Los archivos winlogon.exe o wininit.exe también están dañados e inyectados con códigos que generarán la descarga de infecciones adicionales.
“Almacenar el código malicioso dentro de la ROM del BIOS podría convertirse realmente en algo más que un problema de software de seguridad, habida cuenta de que incluso si un antivirus detecta y limpia la infección MBR, se restablecerá con el siguiente inicio del sistema cuando la carga malintencionada de BIOS sobrescribirá el código MBR nuevamente”, dijo un investigador de Webroot.
“Desarrollar una utilidad antivirus capaz de limpiar el código del BIOS es un desafío, porque debe carecer totalmente de errores, para evitar que no deje al sistema iniciarse en absoluto. El trabajo de manejar esos códigos específicos de sistema debe ser dejado en cargo de los desarrolladores del modelo específico de placa base, que publicarán actualizaciones de BIOS junto con herramientas específicas para actualizar el código de BIOS”, reveló a continuación.
Parece que estos tipos de amenazas deben presentar un poco de preocupación, pero la realidad es que es una tarea difícil para un hacker desarrollar un programa malintencionado que podría afectar a todos los tipos de equipos. Así que, por ahora, debemos preocuparnos más por los peligros actuales que se esconden detrás de nuestro cada clic, en un intento de ganar el control de nuestros equipos.
http://www.zonavirus.com/noticias/2011/descubierto-un-nuevo-virus-de-bios-el-mebromi.asp
Última edición: